iptables закрыть домашний web сервер

0

0

Ситуация такова: есть шлюз с тремя сетевыми картами eth0 (ppp0) - интернет, eth1 - локальная сеть, eth2 - домашняя сеть. На шлюзе запущен web сервер apache (80 порт). Надо что бы сервер был доступен только из домашней сети.

пробовал так:
iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP

Неработает. Что неправильно?

Ссылка

←	ADSL модем+ реальный IP+ dhcp client+ аренда адреса 15сек

странная работа приоритетов пакетов в qos на openwrt

→

Других правил в цепочке INPUT нет?

~~sdio~~ ★★★★★
(19.12.08 19:26:39 MSK)

Ответ на: комментарий от sdio 19.12.08 19:26:39 MSK

До этих есть только: iptables -P INPUT ACCEPT

anonymous
(19.12.08 19:42:20 MSK)

Ответ на: комментарий от anonymous 19.12.08 19:42:20 MSK

>> До этих есть только: iptables -P INPUT ACCEPT

Вот переставь это правило в конец. Иначе получается что входящие подключения сразу пропускаются и дальнейшие правила просто не применяются.

Deleted
(19.12.08 19:43:42 MSK)

Ответ на: комментарий от Deleted 19.12.08 19:43:42 MSK

А вообще для входящего трафика логичнее по умолчанию всё блокировать, а дырочки проковыривать только для нужных сервисов. Ещё почитай про connection tracking.

Deleted
(19.12.08 19:45:41 MSK)

Ссылка

> Неработает. Что неправильно?

iptables -P INPUT DROP

и первым же правилом: iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

и далее уже твои правила, вернее всё что мы хотим явно разрешить, НЕ запретить.

Вторую строчку в FORWARD тоже добавить надо обязательно, если комп роутером работать будет.

anonymous
(19.12.08 19:49:15 MSK)

Ссылка

мде. В конфиге веб сервера трудно поставить ip eth2 - домашняя сеть. ?

wertik
(19.12.08 20:36:12 MSK)

Ссылка

Ответ на: комментарий от Deleted 19.12.08 19:43:42 MSK

>Вот переставь это правило в конец.

"-P" это политика. Её без разницы где указывать, она все равно как бы к конце получается.

2автор топика. Что неработает и как проверяли? И покажите "iptables -L -n -v"

mky ★★★★★
(19.12.08 21:10:30 MSK)

Ответ на: комментарий от mky 19.12.08 21:10:30 MSK

>> "-P" это политика. Её без разницы где указывать, она все равно как бы к конце получается.

Я невнимательно прочитал...

Deleted
(19.12.08 21:46:22 MSK)

Ссылка

не мучай файрвол. для твоей задачи достаточно в httpd.conf добавить:
Listen айпи.на.eth2

Komintern ★★★★★
(20.12.08 12:48:47 MSK)

Ответ на: комментарий от Komintern 20.12.08 12:48:47 MSK

Сервисы должны настраиваться так, как-будто огнестенки не существует.

xio ★
(20.12.08 16:21:40 MSK)

Ответ на: комментарий от xio 20.12.08 16:21:40 MSK

это, конечно, пофиг, что если все три сети маршрутизируются между собой хотя бы, то вебсервер будет доступен из всех, вне зависимости от того, в какой его подсети айпишка. или ты в одной подсети с ЛОРом, что тут постишь?

2автор. дай вывод iptables, route -n, ifconfig

val-amart ★★★★★
(22.12.08 18:04:04 MSK)

Ответ на: комментарий от val-amart 22.12.08 18:04:04 MSK

И действительно. Правило тогда ограничивается случаями с внешними и внутренними сетями за натом.

xio ★
(24.12.08 15:44:02 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ADSL модем+ реальный IP+ dhcp client+ аренда адреса 15сек

Admin

странная работа приоритетов пакетов в qos на openwrt

→

Похожие темы